"Продолжаем разговор." (c)
Тут текст злополучного закона:
http://www.rg.ru/2006/07/29/personaljny ... e-dok.htmlТут есть прочие нормативные акты:
http://77.rsoc.ru/law/p4735/Тут есть как классифицируются (анализ приказа):
http://zetblog.ru/theory/security/ispdn ... 8F-%D0%B8/Как я понял, то для задач оператора категория персональных данных 3, т.к. вероисповедание его для деятельности мало нужно.
Обычная задача - идентификация абонента. Например, чтобы должник не плодил кучу договоров на разных адресах.
Т.е. паспортные данные + ФИО + адрес прописки.
Соответственно класс К3 (сколько абонентов) или К2 (больше 100 тыс. абонентов).
Получается, каждый оператор, желающий обрабатывать и хранить ПД должен:
1) составить план по работе с ними;
2) утвердить комплекс в проверяющих органах;
3) уведомить абонентов, что их ПД обрабатываются.
Выдержка из закона:
Цитата:
Статья 6. Условия обработки персональных данных
1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Согласие субъекта персональных данных, предусмотренное частью 1 настоящей статьи, не требуется в следующих случаях:
2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
Статья 22. Уведомление об обработке персональных данных
1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
Как я понял, если ПД получены при заключении договора и используются для контроля выполнения обязательств по нему, то можно абонента не уведомлять.
Вопрос: Что дальше-то делать? Кто-нибудь сдавал свои комплексы работы с ПД проверяющим. Какими сертификатами нужно прикрываться?
Достаточно ли шифровать жёсткий диск сертифицированным решением
?
Если сертифицирован дистрибутив ПО на сервере и машине оператора, этого достаточно?
Вход
Регистрация
FAQ
Поиск
